3 недели(ль) назад
5
ARTICLE AD BOX
Киберпреступники установили бэкдор на 18 459 компьютеров скрипт-кидди. Злоумышленники специально искали неподготовленных хакеров, предлагая им билдер вредоносных программ.
Согласно отчёту, CloudSEK большинство заражённых машин находится в России, США, Индии, Украине и Турции.
В CloudSEK отметили наличие так называемого аварийного выключателя (kill switch), предназначенного для деинсталляции вредоносной программы с большинства компьютеров, но из-за наличия определённых ограничений они всё равно остались с бэкдором.
Билдер XWorm RAT распространялся сразу через несколько каналов: репозитории GitHub, файлообменники, телеграм-каналы, видео на YouTube и веб-сайты.
Попав в систему, этот фейковый билдер заражал устройство вредоносом XWorm. Последний управлялся с помощью основанного на Telegram командного центра. Интересно также, что XWorm мог вычислять виртуальную среду, чтобы исключить выполнение на компьютере исследователей.
В общей сложности вредоносная программа выполняет 56 команд, включая следующие:
/machine_id*browsers — позволяет вытаскивать сохранённые пароли, cookies и данные автозаполнения. /machine_id*keylogger — записывает любой ввод с клавиатуры. /machine_id*desktop — фиксирует активный экран. /machine_id*encrypt*<password> — шифрует все файлы с помощью специально указанного пароля. /machine_id*processkill*<process> — завершает определённые процессы, включая антивирусные программы. /machine_id*upload*<file> — вытаскивает указанные файлы. /machine_id*uninstall — удаляет вредонос с устройства.
Кроме того, XWorm снимал скриншоты заражённых систем, один из которых приводят специалисты CloudSEK:
English (US) · 
Russian (RU) ·